以太坊 Alarm Clock 漏洞导致 26 万美元的Gas费被盗

Web3 安全公司 Supremacy 强调了 ETHerscan 交易历史，显示黑客迄今为止盗刷 204 ETH 的Gas费，价值约 259,800 美元。

据报道，以太坊 Alarm Clock 服务的智能合约代码中的一个错误已被利用，据说到目前为止已从协议中窃取了近 260,000 美元。

以太坊 Alarm Clock 使用户能够通过预先确定接收方地址、发送金额和所需的交易时间来安排未来的交易。用户必须拥有所需的 Ether (以太坊)完成交易并需要预先支付Gas费用。

根据区块链安全和数据分析公司 PeckShield 10 月 19 日的 Twitter 帖子，黑客设法利用预定交易过程中的漏洞，使他们能够从取消交易的返还Gas费中获利。

简单来说，攻击者本质上是在他们的以太坊 Alarm Clock 合约上调用取消函数，并增加了交易费用。随着协议为取消的交易提供Gas费退款，智能合约中的一个错误一直在向黑客退还比他们最初支付的Gas费更高的价值，从而使他们能够将差额收入囊中。

“我们已经确认了一个积极的利用，它利用巨大的 gas 价格来游戏 TransactionRequestCore 合约以获取原始所有者的奖励。事实上，该漏洞利用向矿工支付了 51% 的利润，因此获得了巨额的 MEV-Boost 奖励，”该公司写道。

我们已经确认了一个积极的利用，它利用巨大的 gas 价格来游戏 TransactionRequestCore 合约以获取原始所有者的奖励。事实上，漏洞利用将 51% 的利润支付给了矿工，因此获得了巨大的 MEV-Boost 奖励。

— PeckShield Inc. (@peckshield) 2022 年 10 月 19 日

PeckShield 当时补充说，它发现了 24 个地址，这些地址一直在利用该漏洞来收集所谓的“奖励”。

几个小时后，Web3 安全公司 Supremacy Inc 也提供了更新，指出 Etherscan 交易历史显示黑客迄今为止能够刷掉 204 个 ETH，在撰写本文时价值约 259,800 美元。

“有趣的攻击事件，TransactionRequestCore 合约已有四年历史，属于以太坊 Alarm Clock 项目，该项目已有七年历史，黑客居然发现了这么旧的代码进行攻击，”该公司指出。

2/ 取消函数计算“gas used”超过85000需要花费的交易费（gas uesd * gas price），并转给调用者。— Supremacy Inc. (@Supremacy_CA) 2022 年 10 月 19 日

就目前而言，缺乏关于该主题的更新来确定黑客是否正在进行、漏洞是否已被修补或攻击是否已经结束。这是一个发展中的故事，Cointelegraph 将在其展开时提供更新。

尽管 10 月通常是与看涨行为相关的月份，但到目前为止，这个月一直充斥着黑客行为。根据 10 月 13 日的一份 Chainalysis 报告，10 月份已经有7.18 亿美元的黑客被盗，这使其成为 2022 年黑客活动最多的月份。